GitHub Copilot、コードのAI学習を止める手順|企業向けオプトアウト
GitHubが4月24日からCopilot Free/Pro/Pro+ユーザーのコードやインタラクションデータをAI学習に使用すると発表。プライベートリポジトリも使用中は対象に。設定手順と受託開発のリスクを解説。
堀川 慎
Backend Engineer / AWS / Django / Go
GitHubが4月24日からCopilot Free/Pro/Pro+ユーザーのコードやインタラクションデータをAI学習に使用すると発表。プライベートリポジトリも使用中は対象に。設定手順と受託開発のリスクを解説。
4月24日に施行された変更 ― 今からやるべきこと
2026年4月24日、GitHubはCopilot Free・Pro・Pro+ユーザーがCopilotとやり取りしたデータをAIモデルの学習に使う方針へ正式に移行しました。GitHubが2026年3月25日に発表した変更で、本記事執筆時点(5月22日)ではすでに約1カ月が経過しています。
この設定はデフォルトで有効になっており、自分から切らなければ自動で適用されるオプトアウト方式です。「使いたくない人は自分で止めてください」というやり方で、4月24日までに無効化していなかったアカウントは、すでに学習対象のパイプラインに乗っています。今から設定を切れば、その時点以降のデータは学習に使われなくなりますが、それまでに渡したぶんは戻ってきません。
以下、現状で影響を受けるプランと受けないプランをまず整理してから、個人アカウントでの止め方、企業のOrganization管理者がやるべき組織レベルの設定、そして受託開発やフリーランスがNDAとの兼ね合いで考えておくべき論点へと進みます。
どのプランが学習対象で、どのプランは対象外か
今回の変更で影響を受けるのは、GitHub Copilotのうち個人向け3プランのみです。法人向けのBusiness/EnterpriseはGitHubのData Protection Agreementによって学習利用が契約上禁止されており、今回の変更でも除外されています。
| プラン | 対象 / 対象外 | 理由 |
|---|---|---|
| Individual / Free | 対象 | 個人アカウントによる無料利用 |
| Individual / Pro | 対象 | 月10ドルの個人有料プラン |
| Individual / Pro+ | 対象 | 月39ドルの個人プレミアムプラン |
| Business | 対象外 | Data Protection Agreementで学習禁止 |
| Enterprise | 対象外 | 同上+Adminによる組織レベルの制御可能 |
| GitHub Education (学生・教員) | 対象外 | 教育機関経由のProは除外 |
| 有料Organization メンバー | 対象外 | Organization経由のCopilot利用 |
境界が紛らわしいのは「個人アカウントで仕事のコードを書いている」ケースです。所属企業がCopilot Businessを契約していても、社員が自分の個人GitHubアカウント(個人Pro)でクライアントのコードを編集していれば、それは個人プラン扱いになり学習対象になります。次のセクションで詳しく扱います。
Copilotに渡しているデータは思ったより多い
「コードが学習に使われる」と聞くと、自分が書いたソースコードだけを想像するかもしれません。実際にはもっと広いです。
GitHubが更新したプライバシーステートメントによると、トレーニングに使われるデータは以下のとおりです。Copilotが提案したコードのうち、あなたが採用したり編集したりした出力。Copilotに送信された入力(コードスニペットを含む)。カーソル位置の周辺にあるコード。あなたが書いたコメントやドキュメント。ファイル名、リポジトリの構造、ファイル間の移動パターン。チャットやインライン補完とのやり取り。サジェストに対する👍👎のフィードバック。
つまり、コードだけではなく、あなたの開発の「動き方」そのものが学習対象になります。どんなファイル構成で、どんな順番でコードを書いて、どのサジェストを採用して、どれを捨てたか。そういった情報がまるごと含まれます。
プライベートリポジトリは「プライベート」なのか
ここがこの話で一番ややこしい部分です。
GitHubの説明はこうなっています。「プライベートリポジトリに保存されているコードは、トレーニングには使いません」。これだけ聞くと安心します。しかし同じ説明の中にこう書いてあります。「Copilotはプライベートリポジトリのコードを、あなたがCopilotを使っているときに処理します。このインタラクションデータはサービスの実行に必要であり、学習を止める設定を無効にしない限り、モデルのトレーニングに使用される可能性があります」。
わかりやすく言えばこういうことです。GitHubのサーバーに置いてある状態のプライベートリポジトリのコードは学習しない。でも、あなたがCopilotを起動してそのコードを編集している最中に、Copilotがコードを読み取って補完候補を出すために処理したデータは学習に使う。
英国のテック専門メディアThe Registerは、これを「private*リポジトリ(アスタリスク付き)」と皮肉りました。保存されているコードは使わないが、使っている最中のコードは使う。「プライベート」の意味が、一般的な感覚とはずれています。
個人ユーザーのオプトアウト手順(1分)
Individual(Free/Pro/Pro+)プランの方は、自分で設定を変える必要があります。すでに4月24日が過ぎている今、最短で止める手順は以下の通りです。
手順(PCブラウザ)
- github.com/settings/copilot/featuresを開く
- ページ内の「Privacy」セクションへスクロール
- 「Allow GitHub to use my data for AI model training」を「Disabled」に変更
- 保存(自動)
注意点
- ・GitHubアカウントを複数持っている場合は、アカウントごとに設定を変える必要がある
- ・以前から「Allow GitHub to use my data for product improvements」を無効にしていた場合は、設定が引き継がれるので追加操作は不要
- ・従来の「product improvements」の設定項目は今回の変更で廃止され、新しい「AI model training」に一本化された
- ・4月24日〜現在までに収集された分のデータの削除は別のリクエスト経路で要求する必要がある(プライバシーステートメント参照)
Organization管理者向け:組織全体での無効化手順
Copilot Business / Enterpriseを契約しているOrganizationの管理者(Owner / Adminロール)は、組織レベルでデータの取扱いポリシーを統制できます。社員が個別にチェックを外す必要はなく、Organization設定で一括ガバナンスを効かせる形が推奨です。
Organization設定の手順
- 対象Organizationのページを開く
- 「Settings」 → 「Copilot」 → 「Policies」へ移動
- 「Suggestions matching public code」を必要に応じて設定(コード重複サジェストの可否)
- 「Allow Copilot to use my data」セクションで、組織として学習利用を許可しない方針を選択
- Enterpriseの場合は、配下のOrganizationすべてに対して上位ポリシーで強制可能
Business/Enterpriseは契約上もともと学習対象外ですが、組織として明示的に学習を禁止している状態にしておくこと自体に意味があります。内部監査やクライアントへの説明で「契約上だけでなく設定上も禁止している」と言えるかどうかは、けっこう重い差です。情シスやCISOの立場では、社員への周知と合わせて、業務時間中に個人GitHubアカウントでCopilot Free/Proを使っている人がいないかを棚卸ししておきたいところです。いれば組織のCopilot Business席へ集約する。Organization設定のポリシー画面で学習利用を明示的に「許可しない」にしてスクリーンショットを残しておけば、コンプライアンスの証跡になります。可能ならSSO/SAML経由でしか業務リポジトリにアクセスできない構成へ寄せて、個人アカウントから業務コードを編集する経路自体を絶つのが理想です。
受託開発やフリーランスにとって何が問題なのか
個人の趣味プロジェクトであれば、学習に使われても実害は少ないかもしれません。問題は、クライアントから預かったコードを個人プランのCopilotで編集している場合です。
フリーランスや受託開発のエンジニアが、個人のGitHubアカウント(Copilot Free/Pro/Pro+)でクライアントのコードを書いている場合、そのインタラクションデータがAI学習のパイプラインに流れる可能性があります。Yahoo!リアルタイム検索でも、この点を懸念する声が上がっています。
多くの受託開発の契約には、秘密保持条項(NDA)が含まれています。クライアントのコードやシステム構成に関する情報を第三者に開示しない義務です。Copilotを使って編集した際のインタラクションデータが「GitHubの関連企業(Microsoftを含む)」に共有される可能性がある以上、NDAとの抵触が気になるところです。
対処の選択肢は限られています。学習を止める設定を今すぐ切るか、クライアント案件のときだけCopilot Business/Enterpriseが適用されるOrganizationアカウントに切り替えるか、案件中はCopilotを完全に外すか。クライアントへの説明責任という観点では、業務案件のときだけBusiness席を経由するのが一番素直です。フリーランスでも、クライアント側がCopilot Businessを契約しており、外部コラボレーターとして招待されている場合は学習対象外になるので、契約交渉のときに「席を発行してください」と一言入れる価値はあります。「個人Proのままで仕事してます」を放置するのは、知らないうちに契約違反を積み上げかねない状態で、経営判断としても早めに整理しておきたい話です。
開発者コミュニティは圧倒的に反対している
GitHub公式のコミュニティディスカッションでは、この発表に対するリアクションが59件の👎に対して、肯定的なロケット絵文字はわずか3つ。39件のコメントのうち、肯定的な立場を取ったのはGitHub社員のMartin Woodward(開発者関係担当VP)だけでした。
開発者たちの不満は、大きく4つに集約されます。
1つ目は「なぜ事前同意(オプトイン)にしないのか」という点。自分のデータを学習に使うなら、使いたい人が手を挙げるのが筋だという主張です。EUではGDPR(一般データ保護規則)の下でオプトインが原則となっており、米国式のオプトアウト方式との差が際立ちます。
2つ目は「学習に貢献しても対価がない」という点。データを提供するなら、Copilotの利用料が割引されるなどの見返りがあってもいいのではないか、という声があります。
3つ目は「プライベートの意味が変わっている」という点。前のセクションで触れたとおり、保存データは使わないがセッション中のデータは使う、という説明は直感に反します。
4つ目は「設定画面がわかりにくい」という点。公式発表から設定ページへの直接リンクが不十分で、どこで何を変えればいいのか迷うユーザーが多発しました。
GitHubの言い分と、それでも残る疑問
GitHub側にも主張はあります。最高製品責任者(CPO)のMario Rodriguezは、公式ブログでこう述べています。「Microsoft社員のインタラクションデータを使ったテストで、複数のプログラミング言語においてサジェストの採用率が向上した」。実際のデータで学習させれば精度が上がる、という実績があるということです。
また、GitHubはこの方式が「確立された業界慣行」であるとも主張しています。実際にAnthropic(Claude開発元)、JetBrains(IntelliJ開発元)、Microsoft自身のCopilot以外の製品も、同様の方式を採用しているとThe Registerが報じています。
データの安全性についても、GitHubはAPIキーなどの機密情報を自動的にフィルタリングする仕組みがあること、サードパーティのAIプロバイダーにはデータを提供しないことを強調しています。共有先はGitHubの関連企業(Microsoftを含むグループ企業)に限定されるとのことです。
しかし、疑問は残ります。「業界がみんなやっている」は、それが正しいことの証明にはなりません。The Registerの記者Thomas Claburnは「AI業界は、強い同意を求めずに集めたデータの上に構築されている。今さらドアを閉めても、その事実は変わらない」と書いています。
技術的に見ると、データはどう扱われるのか
GitHubが更新した利用規約を読むと、いくつかの技術的な仕組みが見えてきます。
まず、収集されたインタラクションデータには「機密データ検出フィルター」と「非特定化技術(de-identification)」が適用されます。APIキーやパスワードのような明らかな秘密情報は自動的に除外される仕組みです。
次に、学習を止める設定を無効にした場合、その時点以降のデータ収集が停止されます。ただし、すでに収集されたデータについて削除されるかどうかは、プライバシーステートメントの別の条項に従う形になっています。
EUのGDPR対応については、GitHubはAI・機械学習開発を「正当な利益(legitimate interest)」として処理根拠に挙げています。EUの規制当局がこの解釈を認めるかどうかは、今後の焦点の一つです。
設定一つで止められるうちに、止めておく
個人プランで使っている方は、github.com/settings/copilot/featuresのPrivacyをDisabledに切るだけです。手元のアカウントが複数あればすべてに同じ設定を当ててください。仕事のコードを書いているなら、これと並行してOrganization経由のCopilot利用に切り替える話を雇用主とすることになります。
Organizationの管理者なら、Settings → Copilot → Policiesで学習利用を明示的に「許可しない」にしておく。社員の個人アカウントが業務コードを触っていないかをこの機会に棚卸しして、できればSSO/SAML経由のアクセス制限まで再確認しておきたい。クライアントワークが多い組織なら、「Copilot Businessでデータが保護されている」旨を説明できる文書を一枚作っておくと、案件のたびに説明する手間が省けます。受託開発側にいるなら、クライアントに「Copilot Business席を発行してください」と頼める関係を作るのが本筋で、NDA条項にAIツールの取り扱いが入っているかを契約書ベースで一度読み直しておくのも忘れない方がいい話です。
GitHubの言い分――実データで学習させれば精度が上がる、業界もみんなやっている――に一定の合理性はあります。ユーザーのデータで鍛えたモデルが、ユーザー自身に還元されるのであれば、悪い話ではない。ただ「使いたくない人は自分で止めてね」という仕組みを選んだ時点で、GitHubは開発者コミュニティとの信頼関係に小さくない傷を入れたのも事実です。公式コミュニティで59対3という数字が、それを物語っています。コードを預ける場所として、GitHubをどこまで信頼するか。設定一つで止められるうちは、まず手元の設定を直してからその先を考えれば足ります。
参照元
- ▸Updates to GitHub Copilot interaction data usage policy(GitHub公式ブログ、2026年3月25日)
- ▸Updates to our Privacy Statement and Terms of Service(GitHub Changelog、2026年3月25日)
- ▸Managing GitHub Copilot policies as an individual subscriber(GitHub Docs)
- ▸GitHub: We're going to train on your data after all(The Register、2026年3月26日)
- ▸GitHub's Copilot Will Use You as AI Training Data, But You Can Opt Out(How-To Geek、2026年3月26日)
- ▸FAQ: Privacy Statement update on Copilot data use for model training(GitHub Community Discussions)
- ▸GitHub Copilot's policy for AI training: A governance wake-up call(GitLab Blog)
- ▸個人向けGitHub CopilotのAIモデルへのデータ活用方針が変わります(DevelopersIO、2026年3月26日)